网络安全测试

根据您的经验,您在站点漏洞方面发现,工作或遇到了什么？您采取了哪些措施来缓解这些问题？

这可能包括XSS(跨站点脚本),SQL注入攻击,普通旧DDOS或网站客户的网络钓鱼尝试.就在昨天,我偶然发现了用于审核网站的各种Firefox工具及其各种漏洞的可能性.

希望扩大我在这个领域的知识以获得一个角色,所以阅读或学习的更多信息总是很好 - 固体链接也很受欢迎!你所见过的最糟糕的战争故事或你见过的最可怕的洞 - 从经验中学习有时候是最好的方式!

我已经为数十(数百？)个应用程序和站点完成了安全审查,白盒和黑盒.

XSS和SQL注入得到了很多新闻,但知道我发现最常见的安全漏洞是什么？在生产代码中保留调试和测试功能.通过篡改POST参数(isDebug = True)或通过抓取网站并查找剩余页面,这些都是我看到的关于安全性的最严重错误.如果您要包含测试/调试代码,请将其放在单独的代码分支中,或者至少在启动之前准备一份清单以进行删除.

我见过的下一个最常见的漏洞就是能够通过从页面源抓取URL来绕过安全机制.技术名称是"强制导航"或"强制浏览"这是任何能够阅读HTML的人都可以做到的事情,但我对各种易受攻击的应用程序感到惊讶.昨天回顾了一个购票网站,我能够使用这种方法购买售罄演出的门票.在以前的网站上,我完全可以跳过付款(很多很多Paypal网站通过POST参数将"购买完成"URL传递给paypal - yoink!).您需要某种后端状态或检查以确保完成,付款,可用性,准确性等.

坦率地说,我通常会让AppScan,BURP代理,WebScarab,Fortify,FindBugs或YASCA等工具(取决于预算和源代码可访问性)为我找到XSS和SQL注入攻击.我会自己尝试一些简单的东西,寻找明显的漏洞,但是有太多已知的组合来尝试自己.我保留了一小部分脚本和测试用例,用于更高级或最近发现的缺陷.

我将在3点停下来,因为我真的可以一整天都在继续,我从你的问题中失去了焦点,没有人想要阅读一面文字.

新的和经验丰富的网络安全大师的一些资源:(ARGH.我还不能正式发布链接.复制/粘贴.抱歉)

开放式Web应用程序安全项目(OWASP)

http://www.owasp.org/

网络安全测试指南

本书是为审计人员,测试人员编写的,对开发人员而言较少.对于O'Reilly的书,这是非常不寻常的.

websecuritytesting.com

Fortify的漏洞分类

www.fortify.com/vulncat/

常见弱点列举(警告:广泛)

nvd.nist.gov/cwe.cfm

常见攻击模式枚举和分类(警告:更广泛)

capec.mitre.org/

谷歌的网络安全教程

(相当弱)

code.google.com/edu/security/index.html